Large diffusion d'un nouveau cheval de Troie de la famille Bagle

Par Sophos le Mardi 01 Mars 2005

Les experts des SophosLabs, le réseau mondial de centres d'analyse des virus et du spam de Sophos, ont détectés de nombreux exemplaires d'un nouveau cheval de Troie diffusé par courriel.

Le cheval de Troie Troj/BagleD1-L semble avoir été délibérément diffusé en masse sous forme de spam vers de nombreuses adresses électroniques du monde entier. La plupart des messages identifiés jusqu'à présent comportent une pièce jointe compressée au format ZIP qui, lorsqu'elle est ouverte, contient un programme intitulé "doc_01.exe", "prs_03.exe" ou portant un autre nom tout aussi innocent.

Si le destinataire clique sur ce programme, le cheval de Troie tente alors de se connecter à un des sites web de la liste qu'il possède pour télécharger un autre code malicieux. A l'heure actuelle, cependant, aucun de ces sites ne semble contenir quoi que ce soit de malfaisant.

Dans le même temps, Troj/BagleD1-L essaie de désactiver sur l'ordinateur infecté diverses applications de sécurité telles que des logiciels antivirus ou pare-feu, de renommer certains fichiers de ces applications (qui ne peuvent alors plus se charger) et de bloquer l'accès à un certain nombre de sites liés à la sécurité en modifiant le fichier HOSTS de Windows.

En dépit de la large diffusion de ce programme, Sophos n'a reçu que peu de rapports signalant une infection active. De plus, puisqu'il s'agit d'un cheval de Troie et non d'un virus, il ne peut pas se rediffuser de sa propre initiative vers d'autres adresses.

Sophos recommande néanmoins fortement aux utilisateurs de s'assurer que leur antivirus est parfaitement à jour.

"Tout cheval de Troie capable de désactiver votre antivirus ou votre pare-feu ouvre la porte à d'autres attaques, y compris par des virus très anciens", commenta Annie Gay, Directeur Général de Sophos France et Europe du Sud. "La meilleure protection reste de disposer d'une mise à jour automatique de son antivirus et, bien sûr, d'être toujours extrêmement prudent vis-à-vis de tout fichier joint à un courriel non sollicité."

Sophos recommande également aux entreprises de mettre en œuvre des règles de filtrage au niveau de leur passerelle de messagerie, de manière à se protéger des nouvelles menaces avant même que les mises à jours antivirales correspondantes soient disponibles.

"Les entreprises doivent envisager sérieusement d'interdire systématiquement la réception de programmes exécutables par courriel", poursuit Annie Gay. "Les utilisateurs désirant installer un logiciel sur leur ordinateur ne doivent le recevoir que du service informatique, et jamais par des amis travaillant dans d'autres sociétés ou via des messages de spam potentiellement dangereux."

Les solutions antivirales Sophos sont capables de détecter Troj/BagleD1-L depuis 05 : 40 GMT le 1er mars 2005.

A propos de Sophos
Sophos est un des plus grands éditeurs mondiaux de logiciels antivirus et antispam. La société, d'origine britannique, protège les entreprises et les administrations - depuis les PME jusqu'aux gouvernements et aux plus grands groupes internationaux - contre les virus et le spam. Sophos est reconnue pour offrir aux utilisateurs le plus haut niveau de protection et de satisfaction client du marché. Ses produits sont vendus et supportés dans plus de 150 pays.